無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2014/09

高野山大学の公式サイト内に通販詐欺サイトの誘導ページが大量に
 
和歌山県の私立高野山大学の公式サイトがだいぶ前から侵害されてるようで、通販詐欺サイトへ誘導する不正なページが大量に作成されてしまってます。
 
イメージ 1
アシックスのシューズを”販売”する通販詐欺サイトへ誘導するページ5千件
 
イメージ 2
ブランド品の財布に、巨人……
 
サイトの下層に Web Diary Professional(WDP) を利用した大学の研究所とか先生のブログが設置されてます。
 
そこから悪意のある第三者にサーバー内への侵入を許してしまい、しまいには上層にまで不正なファイルを置かれてしまってる感じ?
このエントリーをはてなブックマークに追加

画像ファイル? 起動したら実行ファイルな拡張子偽装RLTrapの手口
 
マルウェアをホスティングしてる海外の不正なサーバー(日本とは別に関連性ない)から圧縮ファイルをゲット!
 
解凍してみたら、中身がJPEG形式の画像ファイルです。
 
イメージ 1

cexe.jpg
拡張子が *.jpg なので画像ファイル!
 
って思って、仮にもこのファイルをダブルクリックしたらドボン!
 
エクスプローラの表示方法を切り替えてみると、ファイルの種類が「JPG ファイル」ではなく「アプリケーション」となってます。
 
イメージ 2
 
アラビア語のような右から左に向かって文章を表記する制御文字RLOを悪用し、ファイル名の見た目に偽装が施されてます。
 
cgpj.exe
アイコン画像も偽装! 実際にはWindows用実行ファイル!
ファイル名に細工を施されたウイルスに注意! 見た目でパソコン利用者をだます手口 (IPA 情報処理推進機構)
https://www.ipa.go.jp/security/txt/2011/11outline.html
 
アェウルマたし用使をedocinU edirrevO tfeL ot thgiR (エフセキュア)
http://blog.f-secure.jp/archives/50624752.html
WinRAR と 7-Zip の圧縮ファイルマネージャーでの見え方はこんなん。
 
イメージ 4
 
ファイルをオンラインスキャンサイト VirusTotal に放り投げる。
 
> www.virustotal.com/ja/file/10e50c27c0df1e282125add08b2ee745253b8bdf43f73ecc64d46cde7bcd0648/analysis/1411562773/
 
イメージ 3
 
挙動情報には、ポーランド .pl (148.81.111.121) に接続するということで検索したら正体はこれ?
Palevo Botnet C&C IP address :: 148.81.111.121 (Palevo Tracker)
https://palevotracker.abuse.ch/?ipaddress=148.81.111.121

「PALEVO」がもたらす情報収集やDDoS攻撃などの脅威 (トレンドマイクロ)
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=PALEVO+Worm+Leads+to+Info+Theft%2c+DDoS+attacks
このエントリーをはてなブックマークに追加

フィッシング詐欺 三菱東京UFJ銀行 メールアドレスの確認に注意! 迷惑メール
 
最近音沙汰なかったけど、三菱東京UFJ銀行 を勝手に名乗って銀行口座の有無関係なく不特定多数にバラ撒かれるインチキ偽モノな迷惑メール(スパムメール)が久々に着弾… <こんにちはー!?
件名 【三菱東京UFJ銀行】メールアドレスの確認

こんにちは!
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

以下のページより登録を続けてください。

https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

――Copyright(C)2014 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights
reserved――
迷惑メールの表面上のURLアドレスとは異なるフィッシング詐欺目的の不正なページヘクリックで誘導します。
 
ネットバンキングを装うページは本物の三菱東京UFJ銀行から画像やデザインを丸パクってきてるん。
 
イメージ 1
三菱東京UFJ銀行っぽく偽装されたフィッシング詐欺目的の偽ページ
 
http:// bk.mufg.jp.rria[.]co.in/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.var.cn[.]com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.iseiva[.]com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.urs.cn[.]com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.orx.cn[.]com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.ctr.cn[.]com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
http:// bk.mufg.jp.axe.cn[.]com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001
 
契約番号とパスワードを入力して[ログイン]ボタンを押したら、次に乱数表から10ケタ10行分すべてを入力するよう促すページが出現!
 
イメージ 2
『ご契約カードの乱数表で、○行目の数字から10桁(確認番号)をご入力ください。』
 
昨日9月19日に三菱東京UFJ銀行からも注意喚起情報が発表されてます。
緊急情報 | 三菱東京UFJ銀行をかたるフィッシング(2014/09/19) (フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/ufj20140919.html

【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください!(平成26年9月19日更新) (三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/phishing/20131118.html


 
[2015年1月24日 追記...]
 
この文面と同じ「こんにちは!」な迷惑メールが1月23日より再び無差別にバラ撒かれ始めたのを確認してますー。

三菱東京UFJ銀行をかたるフィッシング (2015/01/23) (フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/ufj20150123.html
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ